这篇文档属于类型a，是一篇关于联邦学习中知识蒸馏（Knowledge Distillation, KD）安全漏洞的原创研究论文。以下为详细学术报告：

作者及机构
该研究由Xiaoyi Pang、Zhibo Wang（IEEE高级会员）、Defang Liu、Jiahui Hu、Peng Sun、Meng Luo和Kui Ren（IEEE Fellow）合作完成。作者团队来自浙江大学区块链与数据安全国家重点实验室、武汉大学、南昌大学、湖南大学及新加坡国立大学。论文发表于《IEEE Transactions on Information Forensics and Security》2025年第20卷。

学术背景
联邦学习（Federated Learning, FL）是一种隐私保护的分布式学习范式，允许多个客户端在不共享本地数据的情况下协同训练全局模型。然而，FL易受投毒攻击（Poisoning Attacks），传统防御依赖于基于统计相似性的鲁棒聚合规则（Robust Aggregation Rules, AGRs）。近年来，知识蒸馏（KD）被引入FL以解决客户端模型异构性问题，通过聚合模型输出（logits）实现跨架构协作。但KD过程引入了新的攻击面：攻击者可操纵恶意客户端的logits破坏全局模型性能。现有研究未充分探索KD-based FL在鲁棒AGR下的安全风险，本研究旨在填补这一空白，提出首个针对KD-based FL的通用无目标投毒攻击方案ManipulatingKD。

研究流程与方法
1. 问题建模与威胁模型
- 攻击能力：攻击者控制部分客户端（c个），在联邦蒸馏过程中发送精心设计的恶意logits。攻击适用于异构FL环境（客户端模型架构不同）。
- 攻击知识：分为四种场景：
- Full-Local：已知所有客户端的良性logits；
- Partial-Local：仅知恶意客户端的良性logits；
- Full-Global：额外知晓全局模型参数；
- Partial-Global：仅知本地模型参数。
- 攻击目标：通过操纵logits使全局模型测试误差显著增加（无目标攻击），同时绕过鲁棒AGR的检测。

1. 攻击方案设计

   • 核心思想：将攻击建模为约束优化问题，最大化恶意logits与原始聚合logits（或全局logits）的差异（KL散度衡量），同时约束恶意logits与良性logits的统计相似性（MSE衡量）。
     
   • 关键技术：
     
     • 参考信息估计：根据攻击模型类型，使用均值AGR估计原始聚合logits、全局logits及最大参考距离（max-ref distance）。
       
     • 优化求解：采用拉格朗日乘数法，通过梯度上升迭代生成恶意logits。
       

2. 实验验证

   • 数据集与设置：在MNIST和CIFAR-10数据集上测试，比较IID与非IID数据分布，评估攻击在均值（Mean）、Trimean、Median、Krum和AFA等AGR下的效果。
     
   • 对比基线：包括高斯噪声（Gaussian）、随机扰乱（Disruption）、标签翻转（LabelFlip）、梯度攻击（Grad）等传统方法。
     
   • 评估指标：攻击效果以全局模型准确率下降（Attack Impact）衡量。

主要结果
1. 攻击有效性
- 在异构FL环境中，ManipulatingKD在MNIST（IID）上使均值AGR下的全局准确率下降超66.69%，在鲁棒AGR（如Krum）下最高下降82.8%，显著优于基线方法（如Shuffling攻击仅降8.27%）。
- 在CIFAR-10（非IID）中，攻击对Median和AFA的准确率降幅分别达64.73%和41.92%，验证了攻击对鲁棒AGR的通用性。

1. 鲁棒性分析

   • Krum与AFA的脆弱性：因二者依赖向量级过滤，恶意logits的高相似性易导致误选（Krum）或误删良性logits（AFA）。
     
   • Trimean与Median的防御优势：因采用维度级过滤，恶意logits的影响被部分抵消。

2. 参数影响

   • 恶意客户端比例：30%比例即可显著降低模型性能，50%时全局准确率可降至10%以下（如CIFAR-10+Mean）。
     
   • 非IID程度：数据分布越异构，攻击效果越强（MNIST非IID下攻击效果提升约20%）。

结论与价值
1. 科学价值
- 首次揭示了KD-based FL在鲁棒AGR下的新型投毒风险，提出通过logits操纵实现间接攻击的理论框架。
- 提出的优化攻击方法为FL安全领域提供了自适应攻击（Adaptive Attack）的典型案例，推动防御策略的动态演进。

1. 应用意义
   
   • 警示现有鲁棒AGR可能提供虚假安全感，需设计更精细的logits检测机制。
     
   • 为异构FL系统的安全部署提供实验基准，如建议在KD过程中引入熵检测（Entropy-based Filtering）等补充防御。

研究亮点
1. 创新性攻击面：首次系统性探索KD过程中logits操纵的攻击潜力，突破传统数据/模型投毒的局限。
2. 方法普适性：提出的优化框架可适配不同攻击模型（Full/Partial-Local/Global），无需预知AGR类型。
3. 实验全面性：覆盖异构/同构FL、IID/非IID数据、多种AGR，攻击效果均优于现有方法。

其他发现
- 攻击隐蔽性：恶意logits的统计相似性使其能绕过基于子logits检测（SubDet）和熵检测（EntroDet）的自适应防御。
- 与梯度攻击对比：在异构环境中，ManipulatingKD的间接攻击效果甚至优于直接梯度篡改（如Grad），凸显logits攻击的独特威胁。

该研究为FL安全领域提供了重要警示，未来需进一步探索针对logits攻击的专用防御机制。